¿Cómo Afrontar un Caso de Espionaje?
Ante cualquier caso de Detección de espias en nuestra Red, lo primero que debemos realizar es una localización fisica del equipo espía. En pequeñas instalaciones no es dificil, pero cuando el numero de equipos supera los 50, repartidos en diversas plantas de uno o varios edificios, el proceso puede resultar laborioso.
Un ayudante o un ordenador portatil se hacen imprescindibles. Una vez localizado el equipo, se procederá a su desconexión inmediata de la red, y a su inspección detallada para realizar un informe sobre el impacto en nuestra seguridad. Lo primero será averiguar que claves ha conseguido, que nivel de confidencialidad o riesgo tienen las claves afectadas.
Tras la detección de una brecha de seguridad, suelen exigir resposabilidades desde arriba, es el momento de poner enfasis en la falta de recursos del departamento de informatica.
Caso 1) Somos Administradores en una Empresa. El espía puede ser alguien de nuestra empresa, y con las claves de acceso obtenidas, imitar la identidad de otro usuario de nuestra red. Estos casos son especialmente peligrosos, pues el espía sabe exactamente que hacer, como, y cuando. Si como administradores detectamos un caso de estos, mi consejo es que lo dejemos en manos de Recursos Humanos. Nunca puedes predecir como reaccionará el individuo cuando se entere que ha sido descubierto. La gente de Recursos Humanos sabe como "disuadir" de la forma más acertada a este tipo de elementos.
Caso 2) Somos administradores en una Universidad. El espía puede ser un estudiante en una universidad. La situación es incluso más peligrosa que la anterior. El estudiante no tiene tanto a perder como un empleado en una empresa, y normalmente, cree que tiene mucho a ganar.
Imaginemos por un momento que haría un estudiante con la cuenta y clave del departamento de gestión academica. Ante casos como estos, es más importante proteger con rapidez que buscar al culpable concreto.
Lo primero será valorar que posible trafico ha visto desde su posición en la red. Haremos una lista de sistemas afectados y los iremos desconectando de la red. Revisaremos cuidadosamente los historicos de accesos a esos sistemas, y comprobaremos la integridad de sus sistemas operativos. Caducaremos TODAS las cuentas, obligando al cambio de clave en la proxima sesión. Cuando hayamos realizado el informe de situación, solicitaremos permiso para reconectar los equipos a la red de una forma más segura posible.
Este es un buen momento para recordar nuestro informe de seguridad preventiva, probablemente seamos escuchados.
Caso 3) Somos administradores en un ISP (Proveedor de Servicios Internet). Mas vale prevenir. Es fundamental separar las redes de los distintos clientes para evitar el espionaje cruzado. Los casos de espionaje a proveedores suelen tener mal principio y peor final.
Caso 4) Una intrusión externa. En cualquiera de los tres supuestos anteriores, ante una intrusión externa, espiaremos un tiempo al intruso. El suficiente para saber como ha conseguido entrar, donde tiene el nido, y cuantas maquinas ha dominado. Desconectaremos todos los accesos externos, incluidos modems y/o RDSI (Red Digital de Servicios Integrados). Corregiremos el agujero y posibles alteraciones en los sistemas operativos. Cambiaremos las cuentas con acceso a shell de todas las maquinas espiadas. Y conectaremos de nuevo, esperando su pronto regreso.
Un ayudante o un ordenador portatil se hacen imprescindibles. Una vez localizado el equipo, se procederá a su desconexión inmediata de la red, y a su inspección detallada para realizar un informe sobre el impacto en nuestra seguridad. Lo primero será averiguar que claves ha conseguido, que nivel de confidencialidad o riesgo tienen las claves afectadas.
Tras la detección de una brecha de seguridad, suelen exigir resposabilidades desde arriba, es el momento de poner enfasis en la falta de recursos del departamento de informatica.
Caso 1) Somos Administradores en una Empresa. El espía puede ser alguien de nuestra empresa, y con las claves de acceso obtenidas, imitar la identidad de otro usuario de nuestra red. Estos casos son especialmente peligrosos, pues el espía sabe exactamente que hacer, como, y cuando. Si como administradores detectamos un caso de estos, mi consejo es que lo dejemos en manos de Recursos Humanos. Nunca puedes predecir como reaccionará el individuo cuando se entere que ha sido descubierto. La gente de Recursos Humanos sabe como "disuadir" de la forma más acertada a este tipo de elementos.
Caso 2) Somos administradores en una Universidad. El espía puede ser un estudiante en una universidad. La situación es incluso más peligrosa que la anterior. El estudiante no tiene tanto a perder como un empleado en una empresa, y normalmente, cree que tiene mucho a ganar.
Imaginemos por un momento que haría un estudiante con la cuenta y clave del departamento de gestión academica. Ante casos como estos, es más importante proteger con rapidez que buscar al culpable concreto.
Lo primero será valorar que posible trafico ha visto desde su posición en la red. Haremos una lista de sistemas afectados y los iremos desconectando de la red. Revisaremos cuidadosamente los historicos de accesos a esos sistemas, y comprobaremos la integridad de sus sistemas operativos. Caducaremos TODAS las cuentas, obligando al cambio de clave en la proxima sesión. Cuando hayamos realizado el informe de situación, solicitaremos permiso para reconectar los equipos a la red de una forma más segura posible.
Este es un buen momento para recordar nuestro informe de seguridad preventiva, probablemente seamos escuchados.
Caso 3) Somos administradores en un ISP (Proveedor de Servicios Internet). Mas vale prevenir. Es fundamental separar las redes de los distintos clientes para evitar el espionaje cruzado. Los casos de espionaje a proveedores suelen tener mal principio y peor final.
Caso 4) Una intrusión externa. En cualquiera de los tres supuestos anteriores, ante una intrusión externa, espiaremos un tiempo al intruso. El suficiente para saber como ha conseguido entrar, donde tiene el nido, y cuantas maquinas ha dominado. Desconectaremos todos los accesos externos, incluidos modems y/o RDSI (Red Digital de Servicios Integrados). Corregiremos el agujero y posibles alteraciones en los sistemas operativos. Cambiaremos las cuentas con acceso a shell de todas las maquinas espiadas. Y conectaremos de nuevo, esperando su pronto regreso.
Saludos y hasta la proxima
